Erteilte datenschutzrechtliche Einwilligungserklärungen sollen auch dann wirksam bleiben, wenn die Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 in Kraft tritt. So haben es die im Düsseldorfer Kreis zusammengeschlossenen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich im September letzten Jahres bekanntlich beschlossen. Der Beschluss sollte jedoch sehr genau gelesen werden, denn Irrtümer können teuer werden.
Gastbeitrag von Jürgen Evers, Kanzlei Blanke Meier Evers Rechtsanwälte
Es steht nicht in Frage, dass es sinnvoll ist, wenn sich der Düsseldorfer Kreis zur Fortgeltung von bestehenden Einwilligungen nach Inkrafttreten der DSGVO äußert.
Die Diskussion anlässlich der diesjährigen BiPRO-Tagung hat jedoch gezeigt, dass dieser Beschluss geeignet ist, Versicherer und Vermittler zur unzutreffenden Annahme zu verleiten, bisher erteilte Einwilligungserklärungen bedürften keiner weiteren Prüfung.
Damit werden nicht nur die Risiken einer weiteren Verwendung betagter Einwilligungen erheblich unterschätzt. Der Beschluss wird auch missverstanden.
Nicht alle Einwilligungen bleiben bestehen
Folgendes hat der Düsseldorfer Kreis beschlossen:
„Bisher erteilte Einwilligungen gelten fort, sofern sie der Art nach den Bedingungen der DSGVO entsprechen (Erwägungsgrund 171 Satz 3 DSGVO). Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen.„
Damit werden zwei Einschränkungen gemacht. Die erste besteht darin, dass es sich um „bisher rechtswirksame Einwilligungen“ handeln muss. Wer Einwilligungserklärungen verwendet, die bislang keiner datenschutzrechtlichen Prüfung unterzogen worden sind, kann aus dem Beschluss nicht herleiten, dass diese rechtwirksam sind.
Die weitere Einschränkung offenbart sich in der Verwendung des Adjektivs „grundsätzlich“. Es bedeutet, dass nicht allgemein von der Wirksamkeit ausgegangen werden kann. Ausnahmen sind also möglich, auch wenn der Beschluss diese nicht genauer definiert.